Organisatorische Maßnahmen und Policies

      Ein Mitarbeiter verlässt die Firma. Drei Monate später bemerkt man bei einer Sicherheitsuntersuchung, dass dieser Mitarbeiter immer noch von außen mittels Virtuellem Privaten Netzwerk (VPN) Zugriff auf die internen Daten dieser Firma hat. Die weitergeführte Untersuchung ergab, dass die Personalabteilung der Computer-Abteilung nichts vom Ausscheiden dieses Mitarbeiter mitgeteilt hatte, und die Systemadministratoren daher seine Zugriffsberechtigungen nicht gesperrt hat. Doch es war auch nicht der Fehler der Personalabteilung, ihr hat nämlich niemand gesagt, dass die Mitteilung an die Computer-Abteilung notwendig ist.

      Dieses ist eines von vielen Beispielen, wo das Fehlen von organisatorischen Maßnahmen und Sicherheits-Policies zu sicherheitskritischen Situationen führen kann.

      Um derartige Situationen zu vermeiden, ist es nötig, eine vollständige Security-Policy mit all den zugehörigen organisatorischen Anpassungen zu erstellen, umzusetzen, zu leben und zu überprüfen. Entsprechend der Überprüfungen können Anpassungen nötig werden. Eine derartige Policy ist eine Sammlung aus Dokumenten und enthält mindestens:

      • Sicherheitsvision und generelle Vorgaben
      • Technische Anforderungen
      • Organisationsanforderungen
      • Verteilung von Verantwortungen und Kompetenzen
      • Sensibilisierungs- und Schulungsplan
      • Benutzerrichtlinien
      • Notfallsrichtlinien
      • Betriebsvereinbarung
      • Richtlinien zur Überprüfung und Anpassung

      Der erfahrene Experte hilft sowohl bei der Erstellung, als auch bei der Kontrolle der gesamten Policy, oder auch nur von Teilen davon.

       

      Die Angebote im Überblick:

      • Sensibilisierungs- und Schulungsprogamme für Führungskräfte und Mitarbeiter - mehr dazu -->
      • Vorschläge für organisatorische Maßnahmen und Entwurf von Policies - mehr dazu -->
      • Pragmatischer Einsatz des internationalen Sicherheitsstandards ISO 17799, da eine vollständige Implementation nicht immer sinnvoll ist - mehr dazu -->
      • Klärung von Fragen im Bereich Internet und Recht, z. B. Unterstützung bei Betriebsvereinbarungen (Soweit diese Leitungen nicht einem Rechtsanwalt vorbehalten sind) - mehr dazu -->
      • Konzeption und Implementierungen rund um die Digitale Signatur - mehr dazu -->
      • Klärung von Fragen im Bereich "Paranoia aller Art" - mehr dazu -->


      Zurück zu Christian Reiser